Der Navigator für Informationssicherheit im Mittelstand

Seit über 20 Jahren begleite ich mittelständische Unternehmen bei der Erreichung ihrer Sicherheitsziele. Ich bin Co-Autor der VdS-Richtlinien 3473 für Cyber-Security in KMU sowie VdS 10010 zur Umsetzung der europäischen Datenschutzgrundverordnung (DSGVO), Autor zahlreicher Fachpublikationen und gefragter Dozent, Impulsgeber und Live Hacker.

Beratungsportfolio

  • Positionsermittlung: Überprüfung und Bewertung von Informationssicherheit auf Basis von VdS 3473, ISO 27001 oder Best Practices. Technische Schwachstellenanalysen, Penetrationstests sowie Red Team Assessments.
  • Kursbestimmung: Beratung in den Bereichen Informationssicherheitsmanagement, Risikomanagement und Notfallmanagement.
  • Zielführung: Unterstützung bei Einführung und Betrieb sowie Zertifizierung von ISMS (VdS 3473, ISO 27001) sowie BCMS (ISO 22301, BSI 100-4), Stellung des Informationssicherheitsbeauftragten.

(zum Profil)

Erkenntnisse aus zwei Jahren VdS 3473

Im Juli feierten die VdS-Richtlinien 3473 ihren zweiten Geburtstag. Seitdem konnten viele Erfahrungen gesammelt werden, die ich in einem Workshop auf der LeetCon 2017 in Hannover präsentiert habe. Hier nun noch einmal zusammenfassend die wichtigsten Erkenntnisse aus zwei Jahren VdS 3473.

Unternehmen

  • Originär für kleine und mittlere Unternehmen <249/500 Beschäftige, <50 mio. Umsatz
  • Funktioniert jedoch auch mit >5000 Beschäftigen, >50 mio. Umsatz und mehreren (internationalen) Standorten
  • Wird als „Baseline“ genutzt und durch ergänzende Maßnahmen angepasst (z.B. bei Teilbereichen mit ISO 27001-Anforderung)

Branchen

Die Richtlinien funktionieren branchenübergreifend.  z.B.

  • Produzierendes Gewerbe/ Industrie
  • Anlagen- und Maschinenbau
  • Banken- und Versicherungswirtschaft
  • Ver- und Entsorgungsunternehmen
  • Stadtverwaltungen, Gemeinden, Kommunen
  • Transport & Logistik
  • Gesundheitswesen

Aufwand für die Einführung

  • 5 – 30 (externe) Beratertage zur Einführung
  • 10 – 60 (interne) Personentage für ISB
  • 1 – 18 Monate Umsetzungszeit
  • Zusätzlicher Aufwand bei größeren oder komplexen Unternehmen (z.B. zusätzliche Gremien, wie ISMT, Internationalisierung, …

Aufwand für den Betrieb

  • 1 – 3 Personentage pro Monat für ISB
  • 0,5 – 1 Personentag pro Monat für IST
  • Zusätzlicher Aufwand bei größeren oder komplexen Unternehmen (z.B. zusätzliche Gremien, wie ISMT, Internationalisierung, …)

Probleme

Fähigkeiten des Unternehmens

  • Mangelndes Engagement des Topmanagements
  • Unzureichende Fähigkeiten im Change- bzw. Projektmanagement
  • Fehlende oder unzureichend wahrgenommene Verantwortlichkeiten
  • Unzureichende Steuerung und Kommunikation von Dokumenten, Verfahren, etc.

Fähigkeiten der Mitarbeiter

  • Führungsschwäche bei Topmanagement oder Personalverantwortlichen
  • Unzureichende kommunikative Kompetenz (insbesondere bei IT-Verantwortlichen oder (designierten) ISB)
  • Mangelnde Fachkompetenz

Herangehensweise

  • Initialer Reifegrad wird zu hoch angesetzt
  • Unreflektiertes Übernehmen von Templates
  • Aufbau eines Paralleluniversums anstatt Integration in bestehende Abläufe
  • Unzureichende Ressourcen (Tagesgeschäft)
  • Unzureichende Beachtung interner (politischer) Gegebenheiten

Entwicklungen

Richtlinien

  • Große Anerkennung und Akzeptanz bei Institutionen, Behörden, Verbänden, Unternehmen
  • Basis für Leitfäden, Konzepte, Mini-ISMS (DSGVO)
  • Integration in Umsetzungs-Tools (z.B. DocSetMinder, verinice)
  • Große Anzahl von Implementierungsprojekten, aktuell noch wenige Zertifizierungen

VdS Schadenverhütung

  • Leitfaden zur Interpretation und Umsetzung für industrielle Automatisierungssysteme
  • Mapping-Projekt mit BSI IT-Grundschutz
  • Synopse-Projekt VdS 3473 – ISO 27001
  • VdS 10010 zur Umsetzung der DSGVO, basierend auf 3473-Struktur

Versicherer

  • Musterbedingungen für Cyber-Versicherungen
  • VdS 3473 (Quick-Audit oder Zertifizierung) teilweise Voraussetzung für Abschluss einer Cyber-Police
  • Rabatte auf Cyber-Versicherungen bei vorhandener Zertifizierung

Ausblick

  • Weitere Leitfäden zur Umsetzung (z.B. Gesundheitswesen, Kommunen)
  • Revision und Überführung in 10000er-Reihe (2018?)
  • Anerkannter Stand der Technik?

Die Folien zum Workshop können hier abgerufen werden. Weiterführende Informationen für eine erfolgreiche Umsetzung der VdS 3473 gibt es im VdS 3473 Wiki.

Integriertes Management von Informationssicherheit und Datenschutz

Bei integrierten Managementsystemen fällt einem zunächst die High-Level-Structure (HLS) der ISO-Normen ein. Was aber, wenn man einen mittelstandstauglichen Ansatz zum Management von Informationssicherheit und Datenschutz benötigt? Insbesondere die europäische Datenschutzgrundverordnung (DSGVO), deren Übergangsfrist am 25. Mai 2018 endet, lässt hier die Verantwortlichen oft verzweifelt nach einer handhabbaren Lösung für kleine und mittlere Unternehmen suchen. Mit den VdS-Richtlinien 10010 hat die VdS Schadenverhütung unlängst einen Entwurf für ein Datenschutzmanagementsystem (DSMS) zur Umsetzung der DSGVO vorgestellt, der sich an der Vorgehensweise der VdS-Richtlinien 3473 – Cyber-Security für KMU orientiert und so den Aufbau eines integrierten Managementsystems ermöglicht. Im Januar 2018 startet zusammen mit der Datenschutzexpertin und Co-Autorin der VdS-Richtlinien 10010 Anna Cardillo das erste Projekt zur Einführung eines integrierten Managementsystems für VdS 3473 und VdS 10010. Weitere Informationen und erste Erfahrungsberichte folgen an dieser Stelle. Fragen? Kontaktieren Sie mich.

Security Assessment auf Basis der VdS-Richtlinien 3473

Durch ein Security Assessment auf Basis der VdS-Richtlinien 3473 wird der Reife- bzw. Erfüllungsgrad eines Informationssicherheitsmanagementsystems (ISMS) nach VdS 3473 – Cyber-Security für KMU bewertet. Dabei werden Schwachpunkte identifiziert und Verbesserungspotential aufgedeckt; es dient daher gleichwohl einer detaillierten Positionsbestimmung als auch zur Aufwandseinschätzung für eine erfolgreiche Zertifizierung. Das Security Assessment ist nicht zu Verwechseln mit dem Quick-Audit der VdS Schadenverhütung. Bei diesem werden die Ergebnisse des VdS Quick Check durch ein Audit der VdS Schadenverhütung überprüft. Das Quick Audit empfiehlt sich daher immer, wenn ein offizielles Testat, z.B. für den Abschluß einer Cyber-Versicherung, benötigt wird. Fragen? Kontaktieren Sie mich für weitere Informationen.

Live Hacking Testimonials

Ich werde vor der Beauftragung oft gefragt, wie der Stil meiner Vorträge und Live Hackings ist. Da aktuell kein Videomaterial vorhanden ist, lasse ich hier einfach mal Veranstalter und Publikum zu Wort kommen.

„Anschaulich, humorvoll, spannend. Das durchweg positive Feedback der Teilnehmer unserer Veranstaltung bestätigt uns, dass wir mit dem Thema und dem Referenten die richtige Wahl getroffen haben“ – AVW Versicherungsmakler, Hamburg

„noch ein Mal herzlichen Dank für die lustige und auch erschreckende („chilling“) Rede“ – Teilnehmer der CGM Anwendertage, Ulm

„Vielen Dank, die Veranstaltung war sehr erfolgreich – gerade zu Ihrem Vortrag erreichen mich viele positive Rückmeldungen“ – Jahresveranstaltung 60 Jahre Europäischer Sozialfond, Rendsburg

„Bei unserem Unternehmer-Frühstück hat Michael Wiesner den Gästen sehr anschaulich mit seiner Live-Hacking-Vorführung die Cyber-Risiken gezeigt, die sowohl den unternehmerischen als auch den privaten Bereich betreffen. Mit seiner kurzweiligen Präsentation und lockeren Art hat er auch das Publikum mit einbezogen.“ – Sparkasse Oberhessen

„Ich hätte nicht gedacht, dass es so einfach ist. Teilweise wusste ich nicht, ob ich lachen oder weinen soll.“ – Besucherin der Essener Sicherheitstage des Bundesverbandes Sicherheitstechnik e.V.

„Ich wusste, dass in Krankenhäusern enormer Handlungsbedarf besteht, sehe aber jetzt, wie schlimm es wirklich ist. Vielen Dank für’s Augenöffnen!“ – Teilnehmer der Jahrestagung der bayerischen Krankenhausdirektoren, Bad Wörishofen

„Greifbar wurden die zunächst theoretisch vermittelten, spannenden Inhalte dann während der Live-Hacking-Demonstration. Viele Anwesende waren sich der Gefahren nicht bewusst. Aufgrund der guten Resonanz haben wir dann noch eine zweite Kundenveranstaltung mit Herrn Wiesner durchgeführt.“ – Volksbank Dill eG

„Vielen Dank für diese spannende Vorführung. Hätte ich es nicht mit eigenen Augen gesehen, würde ich es nicht glauben“ – Teilnehmer des vero Unternehmerforums, Rostock

„Ich gehe jetzt nach Hause und schalte sofort meinen Kühlschrank aus! Wer weiß, ob der nicht auch schon gehackt wurde“ – Besucher der Vortragsreihe Digitaler Stresstest von wilhelm.tel, Norderstedt

„Michael Wiesner schloss den ersten Konferenztag mit einem spannenden Live-Hacking ab, in dem deutlich wurde, wie einfach man sich mittels einer freigeschalteten Wlan-Funktion Zugriff auf mobile Endgeräte verschaffen kann“ – Teilnehmer des 3. Kommunalen IT-Sicherheitskongresses, Berlin

VdS-Richtlinien zur Umsetzung der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union regelt die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit und ist unmittelbar in allen EU-Mitgliedstaaten ab dem 25. Mai 2018 gültig. Viele Unternehmen suchen daher aktuell eine Möglichkeit, dies so einfach wie möglich und mit überschaubarem Aufwand umzusetzen.

Dieses Ziel verfolgt eine neue Richtlinie der VdS Schadenverhütung, die aktuell unter dem Namen VdS 10010 entwickelt und für jedermann kostenfrei abrufbar sein wird. Sie beschreibt ein auditier- und zertifizierfähiges Datenschutzmanagementsystem (DSMS), welches insbesondere auf die Anforderungen von kleinen und mittleren Unternehmen zugeschnitten ist.

Nach der Co-Autorenschaft bei den VdS-Richtlinien 3473 freue ich mich, auch in diesem Projekt wieder zum Kernteam zu gehören. Die Entwicklung wird über https://www.mark-semmler.de/vds/ koordiniert. Interessierte sind eingeladen, sich als Unterstützer bei der Erstellung zu engagieren.

Leistungsportfolio Positionsbestimmung

Die regelmäßige Bestimmung des Status-Quo der Informationssicherheit liefert wichtige Kennzahlen für den Informationssicherheits- und Risikomanagementprozess und ist ein elementares Werkzeug der kontinuierlichen Verbesserung. Die Überprüfung und Bewertung auf sowohl technischer als auch organisatorischer Ebene erlaubt eine ganzheitliche Sicht und ermöglicht eine priorisierte Optimierung der relevanten Prozesse und Verfahren. Je nach Anforderungen sind die hier beschriebenen Leistungen sowohl einzeln als auch in Kombination möglich. Dies richtet sich nach den Bedürfnissen des Auftraggebers, die in der Regel im Rahmen einer Vorbesprechung ermittelt werden. Eine detaillierte Leistungsbeschreibung bildet im Anschluss die Grundlage für Beauftragung und Durchführung.

Leistungsportfolio Positionsbestimmung weiterlesen

Wahl in den Vorstand des media Lahn-Dill e.V.

Ich freue mich, auf der diesjährigen Mitgliederversammlung in den Vorstand des media Lahn-Dill e.V. gewählt worden zu sein. Der Verein thematisiert seit fast 20 Jahren die Digitalisierung in Wirtschaft und Gesellschaft und ist Veranstalter der jährlich stattfindenen Formate mediaForum und media IT-SicherheitsForum. Mit der Gründung des media Netzwerks IT-Sicherheit bietet es den IT- und IT-Sicherheitsverantwortlichen in der Region eine Plattform zum offenen Austausch. Das nächste mediaForum findet am 28.06.2017 in der Stadthalle Haiger mit dem Titel „Ethik als Leitplanke im Prozess der Digitalisierung“ statt.